Anthos clusters on bare metal è ora Google Distributed Cloud (solo software) per bare metal. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Crea cluster di amministrazione

In Google Distributed Cloud, configuri i cluster di amministrazione per gestire altri cluster in modo sicuro. Puoi creare, aggiornare, eseguire l'upgrade o eliminare i cluster utente dall'amministratore cluster. I cluster utente eseguono i carichi di lavoro separatamente dall'amministrazione, le informazioni sensibili siano protette.

I cluster di amministrazione che gestiscono carichi di lavoro multi-cluster possono fornire disponibilità elevata l'affidabilità In un cluster ad alta disponibilità, in caso di errore di un nodo del piano di controllo, gli altri nodi continuerà a funzionare.

Un cluster di amministrazione in un ambiente multi-cluster offre la migliore sicurezza. Poiché l'accesso ai dati di amministrazione è separato dai carichi di lavoro, chi accede ai carichi di lavoro degli utenti non ha accesso a dati amministrativi sensibili, come chiavi SSH e dati degli account di servizio. Di conseguenza, c'è un compromesso tra la sicurezza e le risorse richieste, poiché un cluster di significa che hai bisogno di risorse dedicate per la gestione e i carichi di lavoro.

Puoi creare un cluster di amministrazione utilizzando il comando bmctl. Dopo aver creato un amministratore creare un cluster per le tue cluster a per eseguire carichi di lavoro.

Prerequisiti:

L'ultima versione di bmctl è stata scaricata (gs://anthos-baremetal-release/bmctl/1.29.200-gke.243/linux-amd64/bmctl) da Cloud Storage.
La workstation che esegue bmctl dispone di connettività di rete a tutti i nodi in cluster utente di destinazione.
La workstation che esegue bmctl dispone di connettività di rete all'API del cluster server (VIP del piano di controllo).
La chiave SSH utilizzata per creare il cluster di amministrazione è disponibile per root o per un utente non root con privilegi sudo senza password su tutti i nodi nel cluster di amministrazione di destinazione.
L'account di servizio Connect-register è configurato per essere utilizzato con Connect.

Consulta la guida rapida di Google Distributed Cloud per espandere istruzioni dettagliate per la creazione di un cluster ibrido. Creazione di un cluster di amministrazione è simile alla creazione di un cluster ibrido, con la differenza che non esegui carichi di lavoro il cluster di amministrazione.

Abilita SELinux

Se vuoi abilitare SELinux per proteggere i tuoi container, devi assicurarti SELinux è abilitato in modalità Enforced su tutte le macchine host. A partire da Google Distributed Cloud versione 1.9.0 o successiva, puoi abilitare o disabilitare SELinux prima o dopo la creazione o gli upgrade del cluster. SELinux è abilitato da come predefinita su Red Hat Enterprise Linux (RHEL). Se SELinux è disabilitato su dalle tue macchine host o se non sai con certezza Protezione dei container con SELinux per istruzioni su come attivarlo.

Google Distributed Cloud supporta SELinux solo nei sistemi RHEL.

Accedi a gcloud CLI e crea un file di configurazione del cluster di amministrazione

Imposta le credenziali predefinite che Google Distributed Cloud può utilizzare per creare nel cluster con il comando seguente:
```
gcloud auth application-default login
```
Per utilizzare le funzionalità di abilitazione automatica delle API e creazione di account di servizio in questa pagina, concedi il ruolo di Proprietario progetto a quell'entità. Se L'entità non può avere il ruolo Proprietario progetto. Completa il passaggio successivo.
Assicurati che la creazione del cluster possa riuscire senza concedere al progetto Nel ruolo di proprietario, aggiungi i seguenti ruoli IAM all'entità:
- Amministratore account di servizio
- Service Account Key Admin
- Amministratore IAM progetto
- Compute Viewer
- Amministratore Service Usage
Se l'entità è un account di servizio con questi ruoli, puoi eseguire:
```
export GOOGLE_APPLICATION_CREDENTIALS=JSON_KEY_FILE
```
Sostituisci JSON_KEY_FILE con il percorso del tuo chiave JSON dell'account di servizio.
Ottieni l'ID del tuo progetto Google Cloud e archivialo in una variabile di ambiente usalo per la creazione del cluster:
```
export CLOUD_PROJECT_ID=$(gcloud config get-value project)
```

Crea una configurazione del cluster di amministrazione con `bmctl`

Dopo aver effettuato l'accesso a gcloud CLI e aver configurato il tuo progetto, puoi creare il file di configurazione del cluster con il comando bmctl.

Nell'esempio seguente, tutti gli account di servizio vengono creati automaticamente il comando bmctl create config:

bmctl create config -c ADMIN_CLUSTER_NAME --enable-apis \
    --create-service-accounts --project-id=CLOUD_PROJECT_ID

Sostituisci quanto segue:

ADMIN_CLUSTER_NAME: il nome del nuovo cluster.
CLOUD_PROJECT_ID: l'ID progetto Google Cloud o la Variabile di ambiente $CLOUD_PROJECT_ID.

Ecco un esempio per creare un file di configurazione per un cluster di amministrazione denominato admin1 associato all'ID progetto my-gcp-project:

bmctl create config -c admin1 --create-service-accounts --enable-apis --project-id=my-gcp-project

Il file viene scritto in bmctl-workspace/admin1/admin1.yaml.

In alternativa all'abilitazione automatica delle API e alla creazione di account di servizio, puoi anche fornire ai tuoi account di servizio esistenti le Autorizzazioni IAM. Ciò significa che puoi saltare la creazione automatica dell'account di servizio nell'esempio precedente nel comando bmctl:

bmctl create config -c admin1 --project-id=my-gcp-project

Modifica il file di configurazione del cluster

Ora che hai un file di configurazione del cluster, modificalo per apportare le seguenti modifiche:

Fornisci la chiave privata SSH per accedere ai nodi del cluster di amministrazione:

# bmctl configuration variables. Because this section is valid YAML but not a valid Kubernetes
# resource, this section can only be included when using bmctl to
# create the initial admin/admin cluster. Afterwards, when creating user clusters by directly
# applying the cluster and node pool resources to the existing cluster, you must remove this
# section.
gcrKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-gcr.json
sshPrivateKeyPath: /path/to/your/ssh_private_key
gkeConnectAgentServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-connect.json
gkeConnectRegisterServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-register.json
cloudOperationsServiceAccountKeyPath: bmctl-workspace/.sa-keys/my-gcp-project-anthos-baremetal-cloud-ops.json

Registra i tuoi cluster in un parco risorse. L'ID progetto specificato nel comando bmctl create config viene automaticamente aggiunto gkeConnect.projectID nel file di configurazione del cluster. Questo progetto è noto come progetto host del parco risorse.
- Se hai creato il file di configurazione utilizzando l'abilitazione automatica dell'API e le funzionalità di creazione di account di servizio, puoi saltare questo passaggio.
- Se hai creato il file di configurazione senza utilizzare l'API automatica l'abilitazione delle funzionalità di abilitazione e di creazione degli account di servizio, nelle chiavi JSON dell'account di servizio gkeConnectAgentServiceAccountKeyPath e gkeConnectRegisterServiceAccountKeyPath campi del cluster di configurazione del deployment.
- Se vuoi, puoi aggiungere gkeConnect.location alle specifiche del cluster per specificare la regione Google Cloud in cui e l'esecuzione dei servizi Connect. Questo abbonamento a livello di regione limita il parco risorse e il traffico dei servizi verso la tua regione. Se includi gkeConnect.location in la specifica del cluster, la regione specificata deve essere uguale alla regione configurata in clusterOperations.location. Se le regioni non sono la creazione del cluster ha esito negativo.

Assicurati che la configurazione specifichi un tipo di cluster admin (il valore predefinito):

spec:
  # Cluster type. This can be:
  #   1) admin:  to create an admin cluster. This can later be used to create user clusters.
  #   2) user:   to create a user cluster. Requires an existing admin cluster.
  #   3) hybrid: to create a hybrid cluster that runs admin cluster components and user workloads.
  #   4) standalone: to create a cluster that manages itself, runs user workloads, but does not manage other clusters.
  type: admin

Se l'API GKE On-Prem è abilitata nel tuo progetto Google Cloud, tutti i cluster nel progetto vengono registrato nell'API GKE On-Prem automaticamente nella regione configurata in clusterOperations.location.
- Se vuoi registrare tutti i cluster del progetto nell'API GKE On-Prem, segui i passaggi Prima di iniziare per attivare e utilizzare l'API GKE On-Prem nel progetto.
- Se non vuoi registrare il cluster nell'API GKE On-Prem, includi questa sezione e imposta gkeOnPremAPI.enabled su false. In caso contrario registrare eventuali cluster nel progetto, disabilita gkeonprem.googleapis.com (il nome del servizio per l'API GKE On-Prem) nel progetto. Per istruzioni, vedi Disattivazione dei servizi.
Modifica il file di configurazione per specificare un piano di controllo multinodo ad alta disponibilità. Specifica un numero dispari di nodi per avere un quorum di maggioranza per l'alta disponibilità:
```
  # Control plane configuration
  controlPlane:
    nodePoolSpec:
      nodes:
      # Control plane node pools. Typically, this is either a single machine
      # or 3 machines if using a high availability deployment.
      - address: 10.200.0.4
      - address: 10.200.0.5
      - address: 10.200.0.6
```
Nota: se hai un numero pari di nodi temporaneamente durante l'annuncio o rimuovendo i nodi per la manutenzione o la sostituzione, il deployment mantiene l'alta disponibilità purché tu abbia quorum sufficiente.
Specifica la densità dei pod dei nodi del cluster:
```
....
# NodeConfig specifies the configuration that applies to all nodes in the cluster.
nodeConfig:
  # podDensity specifies the pod density configuration.
  podDensity:
    # maxPodsPerNode specifies at most how many pods can be run on a single node.
    maxPodsPerNode: 250
....
```
Per i cluster di amministrazione, i valori consentiti per maxPodsPerNode sono 32-250 per i cluster ad alta disponibilità e 64-250 per i cluster non ad alta disponibilità. Il valore predefinito se non specificato è 110. Una volta creato il cluster, questo valore non può essere aggiornato.

La densità dei pod è limitata anche dalle risorse IP disponibili del cluster. Per maggiori dettagli, vedi Networking dei pod:

Crea il cluster di amministrazione con la configurazione del cluster

Utilizza il comando bmctl per eseguire il deployment del cluster:

bmctl create cluster -c ADMIN_CLUSTER_NAME

ADMIN_CLUSTER_NAME specifica il nome del cluster creato nella sezione precedente.

Di seguito è riportato un esempio del comando per creare un cluster chiamato admin1:

bmctl create cluster -c admin1

Configurazioni di esempio del cluster di amministrazione

Per esempi di configurazioni del cluster di amministrazione, vedi Cluster di amministrazione del Esempi di configurazione del cluster.